IMPORTANTE: O procedimento descrito neste artigo deve ser seguido somente quando não é possível enviar amostras de malware por meio do processo de envio de malware do ServicePortal. Para obter instruções sobre como enviar amostras por meio do ServicePortal, consulte
KB68030-envie amostras para a Trellix Labs para falha na detecção de malware suspeitas.
Este artigo explica os cenários de uso aceitável para quando você pode enviar amostras usando os seguintes servidores FTP:
Local do servidor FTP |
Comentários |
support-ftp.mcafee.com |
FTP padrão |
support-sftp.mcafee.com |
Secure FTP |
Por que enviar com o FTP?
O Trellix Labs aceita envios de malware por meio de sites FTP para os dois cenários de uso de casos a seguir:
- As amostras de clientes são muito grandes ou muitas, e não podem ser facilmente divididas para envio usando os métodos de envio de e-mail ou da Web padrão. Os limites para envios de mensagens e e-mails são de 50 MB de tamanho e não mais do que 100 arquivos por arquivamento arquivo.
- Há um problema técnico com o site do ServicePortal e o envio de e-mails, e você não pode enviar amostras usando esses métodos.
O Trellix Labs requer que você use o método padrão
de envio por meio do ServicePortal como primeira etapa, pois esse serviço fornece uma experiência melhor do que o site FTP.
Métodos de envio padrão vs. FTP
A lista a seguir descreve as vantagens dos métodos de envio padrão sobre o FTP:
- Monitoramento: Os sites FTP não são monitorados. Os arquivos enviados não são acessados até que você entre em contato com o Suporte técnico para análise, mesmo que a amostra seja conhecida e uma Extra.DAT já esteja disponível. Você não receberá uma resposta até que possamos Pesquisar manualmente a amostra. Esse método de FTP pode adicionar atrasos significativos ao processo e aumentar o tempo de resposta.
- Reconhecimento de envio: Ao enviar por meio de métodos padrão, você receberá uma resposta por e-mail para confirmar que seu envio foi recebido. O sistema informa a classificação atual das amostras, por exemplo, programas limpos, maliciosos, potencialmente indesejados, inconclusivos ou detectados com Extra.DAT o. Quando você envia amostras por FTP, você não recebe nenhum e-mail e todas as respostas são enviadas manualmente de Suporte técnico em vez de sistemas automatizados.
- Política de exclusão: A política do servidor FTP exclui todas as amostras depois de duas semanas. Se a amostra não for armazenada em outro lugar, ela poderá ser eliminada do servidor para que o caso seja encerrado.
- Atrasos: Há vários atrasos e esforço manual quando você envia amostras por meio de sites FTP, em vez de por meio dos métodos de envio padrão, onde a automação é usada. Use os sites FTP somente quando não for possível enviar arquivos por meio dos métodos padrão.
- Prioridade: Coleções de malware e contas de envios em massa de centenas de milhares de amostras recebidas no Trellix Labs todos os dias. Eles são tratados com uma prioridade mais baixa do que as amostras de clientes que são processadas por meio de nossos sistemas automatizados. As coleções de malware e as amostras de envio em massa recebem uma prioridade mais baixa porque processamos amostras de clientes, que recebem a prioridade mais alta primeiro. Quando você envia uma amostra usando o ServicePortal ou o e-mail, a amostra vai antes do processamento da coleta e obtém uma análise prioritária. Se você enviar uma amostra usando FTP e ele tiver sido visto apenas em envios em massa, ele será processado em uma taxa mais lenta do que se ele fosse enviado por meio de métodos padrão.
- Criação automatizada de driver: Se a automação puder gerar um driver para uma amostra, ela será. Mas, se uma amostra for gerada por causa de uma coleta de prioridade mais baixa, ela será definida para mesclar ou liberar a uma prioridade mais baixa. Os envios recebidos de clientes sempre recebem a prioridade mais alta, o que também é refletido na mesclagem ou liberação. Todos os drivers criados por automação para amostras de clientes vão para os DATs antes daqueles de coletas em massa.
- Versão do driver: Os drivers da automação, especialmente os drivers gerados devido a envios de clientes, são criados usando modelos comprovados e testados. Os drivers da automação podem ser realmente liberados para os DATs mais rapidamente do que os drivers gerados por um humano.
- Reprocessamento de amostra: O Trellix Labs tenta manter o máximo de dados possíveis para exemplos, mas há bilhões de arquivos em nossos conjuntos. Portanto, só podemos reprocessar tantas amostras por dia e garantir que os dados sejam precisos. No entanto, qualquer amostra enviada pelo cliente que não possua uma detecção atual ou que não seja conhecida como limpa, será reprocessada diariamente para garantir que os dados possam ser atualizados no banco do dados de amostra. Dessa forma, se houver algum dado novo para a amostra, existem várias oportunidades para que um driver automatizado seja criado.
- Adição automática às tarefas operacionais: O Trellix Labs tem sistemas que automaticamente monitorm o SampleDB ou a automação para obter amostras de clientes com características específicas. Essas amostras são destacadas e levantadas para que a nossa equipe de criação de assinaturas genérica trabalhe em novas detecções genéricas e use essas amostras para fazer testes de versão.
- Amostras para o Machine Learning: Os sistemas de aprendizado de máquina processam todas as amostras enviadas pelo cliente para aprimorar esses sistemas, bem como as taxas de classificação ou detecção de produtos, como Real Protect.
- Envios de Advanced Threat Defense (ATD): O sistema de automação back-end possui sistemas ATD que são usados como parte do processamento de amostras de clientes, que oferece aos laboratórios de Trellix com mais inteligência na arquivo. Ele também fornece amostras da equipe de pesquisa da ATD para aprimorar os recursos do ATD.
- Generic.tra: O fluxo de trabalho cria os arquivos extra. DATs, e não os sistemas de automação.
NOTAS:
- Qualquer generic.tra um que tenha sido criado é um extra assinado .DAT (SED), que permite a utilização de mais verbos no driver.
- A rotina de reparo ou limpeza usada para uma generic.tra é a mesma rotina de limpeza genérica usada na maioria dos drivers e SEDS nos DATs. Eles têm o mesmo recurso de reparo.
- Além dessa função, ao entregar generic.tra a, as amostras movidas para uma fila para que os humanos procurem receber uma generic.tra resposta.